|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
From 16115b0a7b7cdf08fb38084d857d572d8a9088dc Mon Sep 17 00:00:00 2001
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
From: Michal Sekletar <msekleta@redhat.com>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Date: Thu, 24 Jul 2014 10:40:28 +0200
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Subject: [PATCH] socket: introduce SELinuxContextFromNet option
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
This makes possible to spawn service instances triggered by socket with
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
MLS/MCS SELinux labels which are created based on information provided by
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
connected peer.
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Implementation of label_get_child_mls_label derived from xinetd.
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Reviewed-by: Paul Moore <pmoore@redhat.com>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
---
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
man/systemd.socket.xml | 26 ++++++++
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/execute.c | 29 +++++++--
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/execute.h | 1 +
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/load-fragment-gperf.gperf.m4 | 3 +
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/service.c | 4 +-
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/service.h | 3 +-
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/socket.c | 16 +++--
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/core/socket.h | 2 +
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/shared/label.c | 113 ++++++++++++++++++++++++++++++++++
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
src/shared/label.h | 2 +
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
10 files changed, 187 insertions(+), 12 deletions(-)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/man/systemd.socket.xml b/man/systemd.socket.xml
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index 7a63348caf..dad0267467 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/man/systemd.socket.xml
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/man/systemd.socket.xml
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -676,6 +676,32 @@
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
</varlistentry>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
<varlistentry>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <term><varname>SELinuxContextFromNet=</varname></term>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <listitem><para>Takes a boolean
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ argument. When true systemd will attempt
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ to figure out the SELinux label used
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ for the instantiated service from the
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ information handed by the peer over the
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ network. Note that only the security
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ level is used from the information
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ provided by the peer. Other parts of
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ the resulting SELinux context originate
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ from either the target binary that is
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ effectively triggered by socket unit
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ are taken from the value of the
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <varname>SELinuxContext=</varname>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ option.This configuration option only
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ affects sockets with
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <varname>Accept=</varname> mode set to
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <literal>true</literal>. Also note that
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ this option is useful only when
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ MLS/MCS SELinux policy is
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ deployed. Defaults to
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <literal>false</literal>.
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ </para></listitem>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ </varlistentry>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ <varlistentry>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
<term><varname>PipeSize=</varname></term>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
<listitem><para>Takes a size in
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
bytes. Controls the pipe buffer size
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/execute.c b/src/core/execute.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index db755777c1..8c9dfde00a 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/execute.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/execute.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -84,6 +84,7 @@
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "mkdir.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "apparmor-util.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "bus-kernel.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#include "label.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#ifdef HAVE_SECCOMP
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "seccomp-util.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -1665,11 +1666,29 @@ static int exec_child(ExecCommand *command,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#ifdef HAVE_SELINUX
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- if (context->selinux_context && use_selinux()) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- err = setexeccon(context->selinux_context);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- if (err < 0 && !context->selinux_context_ignore) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- *error = EXIT_SELINUX_CONTEXT;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- return err;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (use_selinux()) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (context->selinux_context) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ err = setexeccon(context->selinux_context);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (err < 0 && !context->selinux_context_ignore) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ *error = EXIT_SELINUX_CONTEXT;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return err;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (params->selinux_context_net && socket_fd >= 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ _cleanup_free_ char *label = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ err = label_get_child_mls_label(socket_fd, command->path, &label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (err < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ *error = EXIT_SELINUX_CONTEXT;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return err;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ err = setexeccon(label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (err < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ *error = EXIT_SELINUX_CONTEXT;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return err;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/execute.h b/src/core/execute.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index 9c1f249cd4..6f35736eda 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/execute.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/execute.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -204,6 +204,7 @@ struct ExecParameters {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
bool apply_chroot;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
bool apply_tty_stdin;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
bool confirm_spawn;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ bool selinux_context_net;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
CGroupControllerMask cgroup_supported;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
const char *cgroup_path;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
const char *runtime_prefix;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/load-fragment-gperf.gperf.m4 b/src/core/load-fragment-gperf.gperf.m4
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index e764d68ce4..050c5d819f 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/load-fragment-gperf.gperf.m4
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/load-fragment-gperf.gperf.m4
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -265,6 +265,9 @@ Socket.SmackLabelIPOut, config_parse_string, 0,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
`Socket.SmackLabel, config_parse_warn_compat, 0, 0
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Socket.SmackLabelIPIn, config_parse_warn_compat, 0, 0
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
Socket.SmackLabelIPOut, config_parse_warn_compat, 0, 0')
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+m4_ifdef(`HAVE_SELINUX',
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+`Socket.SELinuxContextFromNet, config_parse_bool, 0, offsetof(Socket, selinux_context_from_net)',
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+`Socket.SELinuxContextFromNet, config_parse_warn_compat, 0, 0')
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
EXEC_CONTEXT_CONFIG_ITEMS(Socket)m4_dnl
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
CGROUP_CONTEXT_CONFIG_ITEMS(Socket)m4_dnl
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
KILL_CONTEXT_CONFIG_ITEMS(Socket)m4_dnl
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/service.c b/src/core/service.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index 3f6595c5c8..395e0ca8c6 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/service.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/service.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -901,6 +901,7 @@ static int service_spawn(
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
.apply_chroot = apply_chroot,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
.apply_tty_stdin = apply_tty_stdin,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
.bus_endpoint_fd = -1,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ .selinux_context_net = s->socket_fd_selinux_context_net
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
};
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
assert(s);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -2748,7 +2749,7 @@ static void service_bus_name_owner_change(
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
-int service_set_socket_fd(Service *s, int fd, Socket *sock) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int service_set_socket_fd(Service *s, int fd, Socket *sock, bool selinux_context_net) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
_cleanup_free_ char *peer = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -2786,6 +2787,7 @@ int service_set_socket_fd(Service *s, int fd, Socket *sock) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
s->socket_fd = fd;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ s->socket_fd_selinux_context_net = selinux_context_net;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
unit_ref_set(&s->accept_socket, UNIT(sock));
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/service.h b/src/core/service.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index ad0b3b381e..0db0c4d64c 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/service.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/service.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -161,6 +161,7 @@ struct Service {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
pid_t main_pid, control_pid;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int socket_fd;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ bool socket_fd_selinux_context_net;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int bus_endpoint_fd;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -205,7 +206,7 @@ extern const UnitVTable service_vtable;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
struct Socket;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
-int service_set_socket_fd(Service *s, int fd, struct Socket *socket);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int service_set_socket_fd(Service *s, int fd, struct Socket *socket, bool selinux_context_net);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
const char* service_state_to_string(ServiceState i) _const_;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
ServiceState service_state_from_string(const char *s) _pure_;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/socket.c b/src/core/socket.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index 68e21e60ac..00d5fd1192 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/socket.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/socket.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -489,7 +489,8 @@ static void socket_dump(Unit *u, FILE *f, const char *prefix) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
"%sPassCredentials: %s\n"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
"%sPassSecurity: %s\n"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
"%sTCPCongestion: %s\n"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- "%sRemoveOnStop: %s\n",
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ "%sRemoveOnStop: %s\n"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ "%sSELinuxContextFromNet: %s\n",
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, socket_state_to_string(s->state),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, socket_result_to_string(s->result),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, socket_address_bind_ipv6_only_to_string(s->bind_ipv6_only),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -504,7 +505,8 @@ static void socket_dump(Unit *u, FILE *f, const char *prefix) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, yes_no(s->pass_cred),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, yes_no(s->pass_sec),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
prefix, strna(s->tcp_congestion),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- prefix, yes_no(s->remove_on_stop));
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ prefix, yes_no(s->remove_on_stop),
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ prefix, yes_no(s->selinux_context_from_net));
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
if (s->control_pid > 0)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
fprintf(f,
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -1128,8 +1130,12 @@ static int socket_open_fds(Socket *s) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
continue;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
if (p->type == SOCKET_SOCKET) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
-
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- if (!know_label) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!know_label && s->selinux_context_from_net) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = label_get_our_label(&label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ know_label = true;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ } else if (!know_label) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
r = socket_instantiate_service(s);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
if (r < 0)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -1821,7 +1827,7 @@ static void socket_enter_running(Socket *s, int cfd) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
unit_choose_id(UNIT(service), name);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
- r = service_set_socket_fd(service, cfd, s);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = service_set_socket_fd(service, cfd, s, s->selinux_context_from_net);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
if (r < 0)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
goto fail;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/core/socket.h b/src/core/socket.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index eede70564a..a2e08998c0 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/core/socket.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/core/socket.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -165,6 +165,8 @@ struct Socket {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
char *smack_ip_in;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
char *smack_ip_out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ bool selinux_context_from_net;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
char *user, *group;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
};
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/shared/label.c b/src/shared/label.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index 25a8b361b7..02b41f02d8 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/shared/label.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/shared/label.c
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -31,6 +31,7 @@
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#ifdef HAVE_SELINUX
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include <selinux/selinux.h>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include <selinux/label.h>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#include <selinux/context.h>
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "label.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -41,6 +42,12 @@
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#include "smack-util.h"
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#ifdef HAVE_SELINUX
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+DEFINE_TRIVIAL_CLEANUP_FUNC(security_context_t, freecon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+DEFINE_TRIVIAL_CLEANUP_FUNC(context_t, context_free);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#define _cleanup_security_context_free_ _cleanup_(freeconp)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#define _cleanup_context_free_ _cleanup_(context_freep)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
static struct selabel_handle *label_hnd = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -243,6 +250,112 @@ fail:
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int label_get_our_label(char **label) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ int r = -EOPNOTSUPP;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ char *l = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#ifdef HAVE_SELINUX
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = getcon(&l);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ *label = l;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int label_get_child_mls_label(int socket_fd, const char *exe, char **label) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ int r = -EOPNOTSUPP;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#ifdef HAVE_SELINUX
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ _cleanup_security_context_free_ security_context_t mycon = NULL, peercon = NULL, fcon = NULL, ret = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ _cleanup_context_free_ context_t pcon = NULL, bcon = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ security_class_t sclass;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ const char *range = NULL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ assert(socket_fd >= 0);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ assert(exe);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ assert(label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = getcon(&mycon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -EINVAL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = getpeercon(socket_fd, &peercon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -EINVAL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = getexeccon(&fcon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -EINVAL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!fcon) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ /* If there is no context set for next exec let's use context
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ of target executable */
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = getfilecon(exe, &fcon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -errno;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ bcon = context_new(mycon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!bcon) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -ENOMEM;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ pcon = context_new(peercon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!pcon) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -ENOMEM;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ range = context_range_get(pcon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!range) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -errno;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = context_range_set(bcon, range);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -errno;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ freecon(mycon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ mycon = context_str(bcon);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (!mycon) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -errno;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ sclass = string_to_security_class("process");
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = security_compute_create(mycon, fcon, sclass, &ret;;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = -EINVAL;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ goto out;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ }
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ *label = ret;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ r = 0;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+out:
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ if (r < 0 && security_getenforce() == 1)
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+#endif
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+ return r;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+}
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int label_context_set(const char *path, mode_t mode) {
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int r = 0;
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
diff --git a/src/shared/label.h b/src/shared/label.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
index cb2ec79eea..ce1e5c3f57 100644
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
--- a/src/shared/label.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+++ b/src/shared/label.h
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
@@ -40,6 +40,8 @@ void label_context_clear(void);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
void label_free(const char *label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int label_get_create_label_from_exe(const char *exe, char **label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int label_get_our_label(char **label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
+int label_get_child_mls_label(int socket_fd, const char *exec, char **label);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
int label_mkdir(const char *path, mode_t mode);
|
|
Zbigniew Jędrzejewski-Szmek |
62fe94 |
|